デジタル変革における人権確保のためのステップ

個人データ保護とは、データに関する基本的人権と自由を保護することです。

政府は、2023年4月17日に、個人データの保護に関する政令第13/2023/ND-CP号（政令）を公布し、2023年7月1日に発効しました。この政令は、個人データの権利を保護し、個人および組織の権利と利益に影響を及ぼす個人データの侵害行為を防止するための要件を満たしています。

ハイライト

この政令は、個人データの保護および個人データを保護するための関連機関、組織、個人の責任を規制する法的文書です。

まず、個人データ保護とは、データに関連する基本的人権と自由を保護することです。個人データ保護に関する政令の規定は、運用上の各個人の権利と自由が侵害されることを防止することを目的としています。

同時に、個人データのセキュリティは特に重要です。データが盗まれた場合、経済的および社会的損失、恐喝、詐欺、財産の横領、名誉毀損、名誉の侵害、尊厳の侵害、性的虐待などのリスクが発生し、物質的および精神的な結果を引き起こし、機関、組織、企業、個人の権利と正当な利益に直接影響を与える可能性があるためです。

第二に、個人データ主体の権利を促進し、尊重します。個人データ主体の権利には、アクセス権、個人データの処理への同意または拒否権、情報提供を受ける権利、データ削除を要求する権利が含まれます。

さらに、データ主体は、他の主体による個人データの侵害から自らを守る権利も有します。個人データ保護の権利を毀損する法令の規定違反があった場合、主体は損害賠償を請求する権利を有します。また、法令は、主体の同意を得ずに個人データの収集、移転、または売買を行うことは違法であると明確に規定しています。

ただし、個人情報を保護する主体の権利は絶対的な権利ではなく、本人または他人の生命や健康を保護するための緊急事態、国防、国家安全保障、社会秩序および安全に関する緊急事態、定められた契約上の義務の履行、または専門法で定められた国家機関の活動への奉仕などの場合に制限されることがあります。

例外規定は、個人や団体の権利を保障しつつ、その権利を行使するために他の個人、団体、国家の正当な利益を侵害しないという原則を実現することを目的としています。

第三に、個人情報保護に関する国際的な統合プロセスを促進する。本政令は、個人情報保護に関する国際的な慣行や規制と整合している。多くの先進国は個人情報保護の問題を法制化しており、これはベトナムが研究し、参考にすべき基礎となる。

さらに、ベトナムが加盟している、またはベトナムと協力関係にある国際機関は、プライバシーと情報・個人データの保護に関する条約、勧告、基準を制定しています。これらには、経済協力開発機構（OECD）のプライバシー原則、欧州評議会の情報および個人データの自動処理に関する個人の保護に関する条約、コンピュータ化された個人データおよび情報ファイルに関する国連ガイドライン、アジア太平洋経済協力（APEC）プライバシー枠組み、プライバシーと情報・個人データの保護に関する国際基準（マドリッド決議）、EU一般データ保護規則（GDPR）などが含まれます。

さらに、我が国と他国・地域との協力を促進する過程で、80か国以上が個人データ保護に関する法的文書を発行しており、その多くはベトナムの組織や個人に適用される規定を含んでいます。したがって、個人データ保護に関する具体的かつ詳細な規制は、外国の個人や組織を含むベトナムにおいて、平等と法の支配の環境を構築することを目的としています。

課題

現在、この政令の実施には依然として大きな課題が残っています。

まず、企業の従業員管理における課題です。現在、多くの企業は親会社と子会社が同一の管理エコシステムを持つモデルを構築しており、従業員情報は共通システムから簡単にアクセスできます。

しかし、ベトナムの法律では、各企業（親会社と子会社を含む）は別個の独立した法人とみなされるため、企業の内部管理プロセスに役立てるために同じエコシステム内の企業が従業員の個人データを転送することも、企業の個人データ保護責任に違反すると見なされる可能性があります。

一方、現在、多くの企業は同政令の施行に困難に直面しており、同政令に従った従業員の個人情報の管理・保護の仕組みや規定が未だ整っていません。

第二に、これは信用機関の業務に関する法的規制と整合していません。現在、信用機関の業務は、2010年信用機関法（2014年改正・補足）、マネーロンダリング防止法、信用機関及び外国銀行支店の顧客情報の機密保持及び提供に関する政令117/2018/ND-CP、同法の下位レベルで銀行業務における情報システムのセキュリティを規制する国立銀行通達09/2020/TT-NHNNなど、専門的な法的規制によって規制されています。

一方、銀行業務の場合、データ処理は個人データに影響を及ぼします。個人データの収集、記録、分析、確認、保存、編集、公開、結合、アクセス、取得、呼び出し、暗号化、復号化、コピー、共有、送信、提供、転送、削除、破棄、またはその他の関連アクションは、顧客にサービスを提供して銀行業務のリスクを管理し、通貨システムの安全性とセキュリティを確保するために不可欠であるため、顧客の個人データを処理する多くの活動は顧客の同意を得ることができず、また得る必要もありませんが、政令第3条第2項および第9条第1項では、他の法律で別途規定されている場合を除き、主体は自分の個人データの処理について知る権利があると規定しています。

また、第9条第2項では、主体は個人データの処理に同意しない権利を有すると規定されており、他の法律で第9条に別の規定がある場合を除き、主体はデータを削除、アクセス、データ処理の制限を要求、データ処理に異議を申し立てる権利を有するとされています。したがって、統一されたガイダンスなしに政令が厳格に適用されると、混乱を招き、不適切となるでしょう。

さらに、信用機関によるサービスおよび商品の提供は、一つの商品に対して多くのプロセスを経て行われ、一つの商品に対する各プロセスには多くの異なるステップが含まれており、膨大な顧客ファイルに関するデータの収集、評価、分析、提供に関連しています。一方、法令では、個人データ管理者および処理者は、データ処理活動を行う際に、すべての処理手順においてデータ主体（顧客）の同意を得ることが義務付けられています（第11条）。また、データ処理活動を行う前に、個人データ主体に通知しなければなりません（第13条）。これは、信用機関の業務運営における新たな障害となっています。

さらに、信用機関は、信用機関の業務に関連する情報技術システムやその他の法令文書を調整する必要があり、契約書や合意書のテンプレートも法令に準拠するように改訂する必要があり、銀行業務に大きな困難が生じています。

第三に、一部の人々は個人データの保護について理解しておらず、その認識もないため、ソーシャル ネットワーキング プラットフォームで簡単に個人情報を共有し、意図せずして悪意のある人物が悪用するのを許してしまいます。

一部の人々は、個人のプライバシーを保障するという個人情報保護の価値を明確に認識しておらず、個人情報を提供することを恐れているため、当局が個人情報保護の国家管理を実施したり、個人情報保護に関する法律違反の捜査や処理を行うことが困難になっています。

さらに、個人情報の売買や情報漏洩のリスクは深刻な結果をもたらし、社会経済問題に深刻な影響を与えています。詐欺や、電話やメッセージを介したスパム広告といった現象は依然として複雑で、人々の生活に影響を与えています。

個人データのセキュリティは特に重要です。データが盗難された場合、経済的および社会的損失を引き起こし、機関、組織、企業、個人の権利と正当な利益に直接影響を与える可能性があるためです。（出典：Shutterstock）

法令の実践

ベトナムは、7,000万人以上のユーザーを抱え、世界で最もインターネットの発展と応用速度が速い国の一つです。国民の3分の2以上の個人データが、様々な形態と詳細レベルで、デジタル環境、サイバースペースに保存、投稿、共有、収集され続けています。

この政令は、デジタル変革における人権の確保、個人データの確保、保護、セキュリティ確保の実践における欠陥や不十分さの克服、ベトナムにおける個人データ処理活動に直接関与または関連する国内外の機関、組織、個人の責任の強化において画期的なものです。

この政令が実際に効果を発揮するためには、以下の点に焦点を当てる必要があります。

まず、労働者の権利保護における企業の責任を強化する。企業は労働者を雇用する上で、従業員の情報を収集・保管する必要がある。労務管理の目的のため、雇用主と企業は従業員から多くの個人情報を受け取り、管理しているが、情報の管理と処理が不注意であれば、予期せぬ結果につながる可能性がある。

企業は、本政令の全体的な影響を慎重に検討・評価し、新規制に従って個人情報の取り扱い手順や指示を速やかに見直し・更新し、本政令の規定に基づくメカニズムの構築やガバナンス規制の構築を検討し、運用プロセス全体を通じてそれらのメカニズムと規制を維持し、遵守する必要があります。

第二に、信用機関の信用活動における困難を解消する。中央銀行は、関係省庁、特に公安省と緊密に連携し、信用分野における個人情報保護に関する統一的なガイドラインを提供する必要がある。これにより、顧客データ保護における信用機関の業務責任の促進と、専門的な要件や課題への対応が確保される。

第三に、本政令が真に効力を発揮するためには、法の普及と啓発をしっかりと行う必要があります。特に、公民権と人権の尊重・保護を至上命題として本政令を発布する必要性を強調する必要があります。そして何よりも、個人データ主体自身が本政令の内容を十分に理解し、個人データ保護に関する意識と責任を高めていく必要があります。